RANCANG BANGUN PROTOKOL KEAMANAN SMS BANKING NASKAH PUBLIKASI

Transkripsi

1 RANCANG BANGUN PROTOKOL KEAMANAN SMS BANKING NASKAH PUBLIKASI I MADE SUNIA RAHARJA 11/323114/PPA/03616 PROGRAM STUDI S2 ILMU KOMPUTER JURUSAN ILMU KOMPUTER DAN ELEKTRONIKA FAKULTAS MATEMATIKA DAN ILMU PENGETAHUAN ALAM UNIVERSITAS GADJAH MADA YOGYAKARTA 2014

2 NASKAH PUBLIKASI Untuk Berkala Penelitian Pascasarjana ini Telah Disetujui oleh Tim Pembimbing Pembimbing Utama Dr.Ahmad Ashari, M.Kom. Tanggal, 2 Juni 2014 NIP

3 PERNYATAAN Dengan ini kami selaku pembimbing tesis mahasiswa Program Pascasarjana : Nama : I Made Sunia Raharja NIM : 11/323114/PPA/03616 Program Studi : Ilmu Komputer Setuju / tidak setuju *) naskah ringkasan penelitian (calon naskah berkala penelitian Program Pascasarjana yang disusun oleh yang bersangkutan dipublikasikan dengan / tanpa *) mencantumkan nama tim pembimbing sebagai co-author. Kemudian harap maklum. Yogyakarta 2 Juni 2014 Nama Status Pembimbing Tanda Tangan Dr. Ahmad Ashari, M.Kom NIP Pembimbing Utama * Coret yang tidak perlu iii

4 ISSN: Rancang Bangun Protokol Keamanan SMS Banking I Made Sunia Raharja 1, Dr.Ahmad Ashari, M.Kom. 2 1 Prodi S2/S3 Ilmu Komputer, FMIPA UGM, Yogyakarta 2 Jurusan Ilmu Komputer dan Elektronika, FMIPA UGM, Yogyakarta 1 sunia.raharja@gmail.com, 2 ashari@ugm.ac.id Abstrak Penggunaan teknologi smartphone(telepon pintar) yang sangat berkembang membuat layanan mobile(mobile service) semakin banyak digunakan oleh masyarakat. Layanan SMS Banking adalah layanan yang sering digunakan oleh masyarakat. Masalah keamanan sering diabaikan penyedia layanan SMS Banking. Penggunaan teknologi SMS standar pada layanan SMS Banking diketahui sangat rentan terhadap penyadapan, untuk itu diperlukan suatu protokol SMS Banking yang memberikan layanan keamanan informasi pada pesan transaksi. Keamanan informasi dapat dicapai melalui penggunaan beberapa mekanisme keamanan yaitu encipherment, digital signature, data integrity dan key exchange. Mekanisme keamanan ini dapat diterapkan melalui penggunaan kriptografi. Sistem kriptografi secara umum ada dua yaitu kriptografi simetri dan asimetri. Protokol keamanan SMS Banking pada penelitian ini terdiri dari dua tahap, dimana protokol tahap pertama adalah pengiriman permintaan transaksi dan tahap yang kedua adalah proses transaksi. Mekanisme keamanan encipherment dilakukan menggunakan kriptografi simetri 3DES. Mekanisme digital signature dan data integrity dilakukan menggunakan kriptografi asimetri ECDSA, sedangkan mekanisme key exchange menggunakan ECDH. Hasil pengujian menunjukkan protokol yang dibangun dapat digunakan untuk proses transaksi melalui SMS Banking dan memberikan perlindungan kerahasian PIN nasabah, secara keseluruhan protokol sudah dapat memberikan layanan keamanan X.800. Kata kunci Protokol, Keamanan jaringan, SMS Banking, ECC, 3DES Abstract Rapidly growing use of the smartphone has lead to the large amount of mobile service utilization by the society. SMS Banking is one of the frequently used service. However, security issue is often ignored by the provider of SMS Banking services. The standard SMS technology usually applied in common SMS Banking service is wellknown to be very vulnerable to tapping. Therefore, an SMS Banking protocol, providing information security service in transactional message is urgently in need. Information security can be achieved through several security mechanism i.e. enchipherment, digital signature, data integrity and key exchange. These mechanisms are applicable through implementation of cryptography. There are two type of cryptography, symmetric cryptography and asymmetric cryptography. SMS Banking security protocol in this research runs through two step. The first step is transmission of transaction request and the second step is transaction process. Encipherment is conducted using 3DES symmetric cryptography. Digital signature and data integrity are conducted using ECDSA asymmetric cryptography. Mean while, the key exchange is conducted using ECDH. Test result showed that the implementation of the protocol can conduct SMS Banking service and provide protection over costumer s PIN. In general, this protocol have fulfill the X.800 security services. Keywords Protocol, Network security, SMS Banking, ECC, 3DES Received June 1 st Revised June 25 th, 2012; Accepted July 10 th, 2012

5 2 1. PENDAHULUAN enggunaan telepon seluler diketahui sudah hampir menyamai jumlah penduduk indonesia. PData dari Asosiasi Telekomunikasi Seluler Indonesia (ATSI) menunjukkan bahwa jumlah pelanggan seluler di Indonesia per tahun 2011 telah mencapai lebih dari 240 juta pelanggan, jumlah ini hampir menyamai jumlah penduduk Indonesia yang berjumlah 258 juta penduduk pada Desember 2010[1]. Penggunaan telepon seluler yang populer ini juga berpengaruh terhadap peningkatkan penggunaan fasilitas yang ada pada telepon seluler. SMS adalah salah satu fasilitas yang banyak digunakan karena praktis dan tidak membutuhkan biaya internet tambahan. Fasilitas SMS yang berkembang membuat penggunaanya tidak hanya untuk personal namun juga untuk komersial, salah satunya adalah penggunaan SMS untuk transaksi keuangan yaitu SMS Banking. SMS Banking adalah layanan yang ditujukan untuk memudahkan pemilik rekening di suatu bank untuk mendapatkan informasi atau melakukan transaksi keuangan. Menurut survey yang dilakukan pada akhir 2011 diketahui bahwa masyarakat semakin banyak tahu SMS Banking dan membutuhkan penggunaan SMS Banking, bahkan 57% layanan yang diakses pada telepon seluler adalah SMS Banking[2]. Meskipun memberikan kemudahan, namun teknologi protokol yang digunakan oleh penyedia layanan SMS Banking masih belum aman. Keamanan informasi transaksi menjadi permasalahan yang mengkhawatirkan bagi pihak bank, melihat banyaknya pemilik rekening menggunakan layanan ini[2]. Hampir semua protokol SMS Banking yang ada hanya memanfaatkan teknologi GSM yang masih standar dan rentan terhadap serangan. Kerentanan terhadap serangan terjadi pada transmisi SMS pada jaringan GSM standar yang tidak memilik keamanan yang baik. Pengiriman informasi rahasia(misalnya PIN) ke BTS diketahui masih menggunakan algoritma enkripsi A5 yang sudah diketahui bukan merupakan enkripsi yang aman. Salah satu serangan yang dapat terjadi adalah penyadapan SMS, penyadapan SMS sangat mudah dilakukan jika penyerang memiliki akses ke BTS atau bagian dari jaringan GSM tertentu. Selain itu pesan yang menunggu untuk dikirim ke server bank tersimpan dalam bentuk plainteks sehingga orang yang memiliki akses ke provider dapat dengan mudah melihat PIN pemilik rekening. Sehingga diperlukan keamanan informasi tambahan untuk mengatasi kerentanan pada SMS. Keamanan informasi dapat dicapai dengan menerapkan mekanisme keamanan. Mekanisme keamanan berkaitan dengan penggunaan algoritma-algoritma enkripsi. Secara umum enkripsi dikelompokan menjadi dua yaitu enkripsi simetri(symmetric Encryption) dan enkripsi asimetri(asymmetric Encryption). Enkripsi simetri digunakan untuk merahasiakan isi dari suatu blok data dengan ukuran tertentu seperti misalnya sebuah pesan, file, kunci enkripsi, dan password. Sedangkan enkripsi asimetri lebih banyak digunakan untuk manajemen kunci yang digunakan pada enkripsi simetri dan tanda tangan digital[3]. Salah satu algoritma enkripsi simetri adalah 3DES, 3DES merupakan algoritma yang sudah direkomendasikan menjadi standar keamanan data[4]. Sedangkan salah satu contoh algoritma asimetri yang dapat digunakan adalah algoritma ECC, Elivtic Curve Cryptography(ECC) memiliki keunggulan dalam memberikan tingkat keamanan yang sama dengan algoritma asimetri lain(rsa) namun dengan ukuran kunci yang lebih kecil[3]. 2. METODE PENELITIAN Metode penelitian dilakukan dengan melaksanakan beberapa tahapan yaitu : 2.1 Analisis Data Agar dapat menunjukkan protokol yang dibuat sudah memberikan layanan keamanan SMS Banking dilakukan simulasi yang melibatkan komponen mobile-phone dan server bank.

6 IJCCS ISSN: Layanan keamanan yang diberikan sesuai dengan standar X.800[stalling] yaitu confidentiality(kerahasiaan), integrity(integritas), authentication(otentifikasi), nonrepudiation(nir-penyangkalan) and availability service(ketersediaan layanan). Untuk memberikan layanan keamanan ini perlu dilakukan mekanisme keamanan yaitu encipherment(enkripsi), digital signature(tanda tangan digital), data integrity(intergitas data) dan key exchange(pertukaran kunci). Digital signature dan data integrity dapat dilakukan dengan menggunakan algoritma ECDSA, encipherment dapat dilakukan dengan menggunakan enkripsi simetri algoritma 3DES. Mekanisme key exchange dapat dilakukan dengan algoritma ECDH. Untuk melakukan mekanisme keamanan sisi mobile-phone dan server harus memiliki fungsi untuk melakukan tanda tangan digital untuk pesan transaksi yang dikirimkan dan pemerikasaan tanda tangan digital, melakukan proses pertukaran kunci(key exchange) untuk kunci rahasia. Kunci rahasia ini akan digunakan untuk enkripsi pada mobile-phone dan dekripsi pada server. Untuk melakukan transaksi SMS Banking dengan aman nasabah memerlukan kode PIN yang hanya diketahui oleh nasabah, protokol yang dibangun membutuhkan tabel akun SMS Banking yang berisi kode PIN nasabah, tabel akun rekening tabungan nasabah dan tabel transaksi. 2.2 Perancangan Protokol Rancangan protokol ditunjukkan pada Gambar 1. Rancangan protokol terdiri dari tiga layer yaitu Banking aplication layer, Secure SMS protocol layer dan Short Message Transport Protocol. Yang menjadi fokus dalam penelitian ini adalah Banking Aplication layer dan Secure SMS protocol layer. Gambar 1 Rancangan protokol Pada Gambar 1 inisiasi protokol selalu dimulai pada sisi mobile-phone dan direspon oleh server. Secure SMS protocol adalah layer yang menerapkan mekanisme keamanan yang sudah ditentukan. Sedangkan Banking Aplication layer adalah layer yang bertugas mengolah data transaksi agar dapat digunakan untuk layer Secure SMS protocol. Layer message transport protocol pada penelitian ini menggunakan protokol yang bertugas untuk menerima dan mengirim SMS standar Secure SMS Protocol layer Protokol yang akan dibuat terdiri dari dua bagian yaitu bagian permintaan transaksi(request transaction) dan bagian proses transaksi(process transaction). Berikut ini adalah notasi yang digunakan untuk menjelaskan rancangan protokol, format notasi yang digunakan berdasarkan format notasi dari Ratshinanga[5]: S : Menandakan server; C : Menandakan klien; PIN : Kode PIN nasabah; Req : Data permintaan transaksi; Konf : Pesan balasan konfirmasi dari server; SS priv : Tanda tangan menggunakan kunci privat ECDSA server; : Tanda tangan menggunakan kunci privat ECDSA klien; SC priv Title of manuscript is short and clear, implies research results (First Author)

7 4 S ECDH : Nilai ECDH server; C ECDH : Nilai ECDH klien; EK s : Enkripsi dengan kunci rahasia; Hasil : Hasil transaksi Digest : Kode digest pesan yang dienkripsi; : penyambungan; C S : C mengirim SMS ke S [ ] : Simbol bentuk SMS. Protokol P terdiri dari dua bagian yaitu permintaan transaksi(rt) dan proses transaksi(pt) pada persamaan (1) : P = RT + PT (1) RT adalah pengiriman permintaan transaksi. PT adalah pengiriman proses transaksi yang dienkripsi menggunakan kunci rahasia dari server. Dimana RT dijelaskan tahapanya lebih lanjut menjadi : M1 : C S: [SC priv (C ECDH Req)] : Pesan permintaan transaksi M2 : S C: [SS priv (S ECDH Konf)] : Pesan konfirmasi transaksi dan tahapan untuk PT adalah : M3 : C S: [SC priv (EK s (PIN))] : Pesan persetujuan transaksi M4 : S C: [SS priv (Hasil)] : Pesan hasil transaksi Dua bagian protokol harus dijalankan secara bertahap, bagian kedua tidak dapat dijalankan jika tidak menjalankan bagian pertama, tahapan-tahapan untuk setiap pengiriman pesan transaksi lebih detail adalah sebagai berikut: M1: C menyusun pesan permintaan transaksi yang terdiri dari kunci publik ECDH(CECDH) dan data permintaan transaksi(req). Pesan ini kemudian ditandatangani menggunakan kunci privat milik mobile-phone(scpriv(cecdh Req)). Pesan yang sudah ditandatangani dikirim ke bank-server(c S: [SCpriv(CECDH Req)]). M2: S menerima pesan M1 kemudian memeriksa tanda tangan digital menggunakan kunci publik mobile-phone yang tersimpan pada bank-server. Jika tidak valid pesan permintaan akan langsung dihapus, sedangkan jika valid pesan permintaan akan diproses. Pesan permintaan diproses agar dapat digunakan untuk bagian protokol berikutnya, bank-server menghasilkan kunci rahasia(ks) menggunakan CECDH dari M1 dan nilai privat ECDH yang dimiliki oleh bank-server, kunci rahasia ini akan digunakan untuk bagian protokol berikutnya. Pesan permintaan transaksi akan dibalas dengan pesan konfirmasi transaksi untuk meminta persetujuan proses transaksi kepada nasabah. Bersama dengan nilai SECDH konfirmasi transaksi ditandatangani menggunakan Sspriv(SSpriv(SECDH Konf)) kemudian dikirimkan ke klien(s C: [SSpriv(SECDH Konf)]). M3: C menerima pesan M2 dan memeriksa tanda tangan pesan menggunakan kunci publik bank-server yang tersimpan pada mobile-phone. Jika tanda tangan tidak valid pesan tidak dapat digunakan untuk melakukan persetujuan transaksi, sedangkan jika valid pesan akan diproses dengan cara mobile-phone mengambil nilai SECDH kemudian bersama dengan nilai privat ECDH yang dimiliki oleh mobile-phone dihasilkan kunci rahasia(ks) yang akan digunakan untuk enkripsi(eks) pesan persetujuan transaksi. Pesan konfirmasi transaksi disetujui oleh klien dengan mengirimkan pesan persetujuan transaksi yang berisi kode PIN yang dienkripsi menggunakan kunci rahasia(eks(pin)). Pesan persetujuan transaksi yang sudah dienkripsi ditandatangani lagi oleh mobile-phone dan dikirimkan ke bank-server(c S: [SCpriv(Eks(PIN))]). M4: S menerima pesan persetujuan transaksi M3 dan memeriksa tanda tangan digital menggunakan kunci publik mobile-phone, jika tidak valid maka pesan akan dihapus sedangkan jika valid pesan persetujuan transaksi didekripsi menggunakan kunci

8 IJCCS ISSN: rahasia(ks) yang dihasilkan pada saat M2. Pesan yang sudah didekripsi digunakan untuk memproses transaksi. Hasil dari proses transaksi akan ditandatangani oleh bankserver(sspriv(hasil)) dan dikirimkan ke mobile-phone sebagai pesan hasil transaksi(s C: [SSpriv(Hasil)]). Tahapan-tahapan protokol pada masing-masing komponen protokol : Tahapan protokol permintaan transaksi : Pada sisi mobile-phone : 1. Membuat pasangan kunci ECDHkeyKlien=ECDHprivKlien + ECDHpubKlien 2. Membuat pesan reqtrans yang terdiri dari ECDHpubKlien dan data transaksi 3. Membuat signature melalui tanda tangan data reqtrans 4. Membuat pesan permintaan transaksi yang terdiri dari signature dan reqtrans 5. Mengirim pesan permintaan transaksi melalui SMS Pada sisi server : 6. Mengambil signature dan reqtrans dari pesan permintaan transaksi 7. Memeriksa dan validasi signature 8. Hapus pesan jika tanda tangan tidak valid 9. Jika valid ambil ECDHpubKlien dan data transaksi 10. Membuat pesankon1 transaksi berdasarkan data transaksi 11. Membuat pasangan kunci ECDHkeyServer=ECDHprivServer+ECDHpubServer 12. Membuat secretkey menggunakan ECDHprivServer dan ECDHpubKlien 13. Membuat pesankon2 yang terdiri dari ECDHpubServer dan pesankon1 14. Membuat signature melalui tanda tangan data pesankon2 15. Membuat pesan konfirmasi transaksi yang terdiri dari signature dan pesankon2 16. Mengirim pesan konfirmasi transaksi Pada sisi mobile-phone : 17. Mengambil signature dan pesankon2 dari pesan konfirmasi transaksi 18. Memeriksa dan validasi signature 19. Jika tidak valid tidak bis dibaca 20. Jika valid baca pesankon2 21. Membuat secretkey menggunakan ECDHpubKlien dan ECDHpubServer Tahapan protokol proses transaksi : Pada sisi mobile-phone : 1. Enkripsi PIN dengan secretkey menghasilkan ciphertext 2. Menghapus kunci rahasia 3. Membuat signature melalui tanda tangan data ciphertext 4. Membuat pesan persetujuan transaksi yang terdiri dari signature dan ciphertext 5. Mengirim pesan persetujuan transaksi Pada sisi server : 6. Mengambil signature dan ciphertext 7. Memeriksa dan validasi signature 8. Jika tidak valid hapus pesan persetujuan transaksi 9. Jika valid dekripsi ciphertext dengan secretkey 10. Jika tidak berhasil didekripsi hapus pesan persetujuan transaksi 11. Jika berhasil didekripsi, eksekusi transaksi menggunakan PIN 12. Membuat signature melalui tanda tangan data hasil transaksi 13. Membuat pesan konfirmasi hasil transaksi yang terdiri dari signature dan hasil transaksi 14. Mengirim pesan konfirmasi hasil transaksi 15. Menghapus secretkey Pada sisi mobile-phone : 16. Mengambil signature dan hasil transaksi 17. Memeriksa dan validasi signature 18. Jika tidak valid, pesan tidak bisa dibaca Title of manuscript is short and clear, implies research results (First Author)

9 6 19. Jika valid, baca hasil transaksi Banking aplication layer Layer ini ada di kedua sisi yaitu mobile-phone dan server. Layer ini akan memproses data transaksi membentuk pesan SMS yang digunakan pada Secure SMS protocol layer. Layer ini juga mendefinisikan proses-proses pendukung mekanisme keamanan pada Secure SMS protocol layer. Gambar 2 menunjukkan use-case Banking aplication layer. Protokol yang dibangun membutuhkan empat jenis SMS, dua SMS dikirim dari mobilephone dan dua SMS dikirim dari server. Keempat pesan memiliki struktur pesan yang berbeda yaitu : Gambar 2 Use-case banking aplication layer Pesan permintaan transaksi Pesan yang berisi data permintaan transaksi yang dikirim oleh mobile-phone ditunjukan pada Gambar 3 Vers Signature ECDHKlien Data transaksi Gambar 3 Struktur pesan permintaan transaksi Pesan konfirmasi transaksi Pesan yang berisi informasi transaksi yang akan diproses yang dikirimkan oleh server ditunjukan pada Gambar 4. Vers Signature ECDHserver Konfirmasi transaksi Gambar 4 Struktur pesan konfirmasi transaksi Pesan persetujuan transaksi Pesan persetujuan eksekusi transaksi yang berisi PIN nasabah yang dienkripsi yang dikirim oleh mobile-phone ditunjukkan pada Gambar 5 Vers Signature Ciphertext PIN Gambar 5 Struktur pesan persetujuan transaksi Pesan konfirmasi hasil transaksi Pesan hasil transaksi yang telah dieksekusi oleh server ditunjukan pada Gambar 6 Vers Signature Hasil transaksi Gambar 6 Struktur pesan konfirmasi hasil transaksi Notasi yang digunakan pada struktur pesan ditunjukan pada Tabel 1.

10 IJCCS ISSN: Notasi Vers Signature ECDHklien Data transaksi ECDHserver Konfirmasi transaksi Ciphertext PIN Hasil transaksi Tabel 1 Notasi Struktur Pesan Makna Pola string spesifik yang digunakan untuk menandakan struktur pesan yang dikirim Tanda tangan digital untuk keamanan pesan Kunci publik ECDH yang dikirim oleh mobile phone Untaian string data transaksi Kunci publik ECDH yang dikirim oleh server Pesan konfirmasi persetujuan transaksi Hasil output dari proses enkripsi PIN Hasil dari proses transaksi yang dikirim oleh server Perancangan Database Sesuai dengan analisis data protokol membutuhkan tiga buah tabel yaitu tabel akun rekening tabungan, tabel akun SMS Banking dan table transaksi. Gambar 7 menunjukan Diagram Relasional potokol. Gambar 7 Diagram Relasional database 2.3 Implementasi Protokol Implementasi protokol dilakukan pada dua komponen yaitu mobile-phone dan server. Pada mobile-phone implementasi dilakukan menggunakan bahasa pemrograman Android, sedangkan implementasi pada sisi server menggunakan SMSLib untuk layanan smsgateway dan JAVA untuk implementasi tahapan protokol. Proses kriptografi memakai tools library bouncy castle dan kriptografi berbasis JAVA. Implementasi pada sisi mobile-phone mengikuti diagram aktivitas Gambar 8. Gambar 8(a) menunjukkan aktivitas mobile-phone mengirimkan pesan permintaan transaksi. Gambar 8(b) menunjukan aktivitas mobile-phone yang menangani pesan konfirmasi transaksi dan pesan hasil transaksi yang dikirim server. Sedangkan implementasi sisi server mengikuti diagram aktivitas Gambar 9. Implementasi database dilakukan menggunakan MYSQL dengan membuat tiga buah tabel yang sesuai dengan Gambar 7. Title of manuscript is short and clear, implies research results (First Author)

11 8 Gambar 9: Diagram aktivitas sisi mobile-phone Gambar 8 Diagram aktivitas sisi server 3. HASIL DAN PEMBAHASAN Dilakukan dua jenis pengujian terhadap protokol SMS Banking yang dibangun, pengujian fungsionalitas protokol SMS Banking dan pengujian keamanan protokol SMS Banking. Pengujian fungsionalitas dilakukan dengan menjalankan beberapa test case. Dari hasil pengujian fungsionalitas diketahui bahwa server sudah dapat memproses pesan permintaan transaksi/pesan persetujuan transaksi yang memiliki versi pesan yang sesuai dengan protokol

12 IJCCS ISSN: dan menghapus pesan yang tidak sesuai dengan protokol. Pada sisi mobile-phone, mobilephone menerima dan memproses pesan konfirmasi transaksi/pesan konfirmasi hasil transaksi dari server yang memiliki versi pesan yang sesuai dengan protokol, sedangkan pesan dengan versi yang tidak sesuai dengan protokol diterima namun tidak diproses. Protokol juga dapat merespon dengan baik jika terdapat kesalahan pemasukan nilai pada data transaksi, misalnya jika nasabah memasukkan alphabet pada nilai yang seharusnya bertipe numerik maka server akan memberikan peberitahuan bahwa format pesan yang dikirim salah. Pada bagian proses transaksi, protokol dapat mengeksekusi transaksi jika PIN benar dan memberikan pemberitahuan kepada nasabah jika PIN yang dikirimkan salah. Dari hasil pengujian fungsionalitas diketahui protokol sudah berjalan dengan baik sesuai dengan fungsinya. Jumlah segmen pesan yang dibutuhkan untuk permintaan transaksi sebanyak dua segmen sedangkan untuk proses transaksi dibutuhkan satu segmen pesan, untuk bagian permintaan transaksi membutuhkan segmen yang lebih banyak karena dibutuhkan karakter yang lebih banyak untuk nilai kunci publik ECDH Pengujian keamanan dilakukan dengan melakukan penyerangan dengan seranganserangan yang ditentukan pada pohon serangan[6] Gambar 10. Penyerangan dilakukan dengan tujuan untuk mengetahui kode PIN SMS Banking yang ada pada pesan persetujuan transaksi. Dari pohon serangan diketahui bahwa semua serangan yang dilakukan tidak mungkin untuk mengetahui kode PIN nasabah. Gambar 10: Pohon serangan protokol dari proses mitigasi serangan dapat diketahui bahwa protokol sudah memenuhi beberapa layanan keamanan yaitu : 1. Otentikasi(Authentication) Otentikasi menjamin komunikasi SMS antara klien dan server otentik. Fungsi dari otentifikasi adalah menjamin penerima SMS memang benar menerima pesan dari sumber yang dinyatakan. Mekanisme kemanan tanda tangan digital yang diterapkan telah memberikan layanan otentikasi terhadap mobile-phone dan server sehingga pihak luar protokol tidak dapat mengintervensi layanan transaksi yang diberikan, selain itu penggunaan PIN SMS Banking memberikan otentifikasi terhadap klien/nasabah karena hanya klien/nasabah yang mengetahuinya. 2. Kontrol Akses(Access Control) Pihak mobile-phone dan server dapat diidentifikasi melalui tanda tangan digital, tanda tangan digital dapat diverifikasi sehingga dapat diketahui apakah tanda tangan valid Title of manuscript is short and clear, implies research results (First Author)

13 10 atau tidak. Jika tanda tangan tidak valid dapat dipastikan berasal dari pihak luar yang tidal berhak mengakses protkol. 3. Kerahasiaan Data(Data Confidentiality) Data yang sangat penting dan rahasia adalah PIN SMS Banking. Enkripsi PIN sudah menggunakan algoritma enkripsi yang kuat dengan kunci rahasia yang merupakan onetime password sehingga sudah memberikan kerahasiaan yang kuat. 4. Integritas data(data Integrity) Pada protokol yang dibangun pesan permintaan transaksi harus terjaga dari pengubahan atau modifikasi. Mekanisme tanda tangan digital mengimplementasikan fungsi hash yang menghasilkan digest pesan, pengecekan nilai digest dilakukan pada saat verivikasi tanda tangan digital, jika pesan dirubah maka akan menghasilkan nilai digest yang berbeda sehingga tanda tangan menjadi tidak valid. 5. Nirpenyangkalan(Non-repudiation) Protokol yang dibangun menggunakan PIN SMS Banking untuk mengeksekusi transaksi, PIN hanya diketahui oleh nasabah sehingga nasabah tidak bisa menyangkal dalam melakukan transaksi. 6. Ketersediaan Layanan(Availability Service) Ketersediaan layanan SMS Banking dapat diganggu dengan serangan denial-ofservice(dos). Serangan DoS biasanya ditujukan pada sisi server sehingga akan mengghambat dalam pelayanan SMS Banking. Serangan DoS dapat dimitagasi dengan memanfaat struktur pesan dan tanda tangan digital. Pesan dengan versi yang tidak sesuai dan pesan yang tidak valid akan dihapus oleh server. 4. KESIMPULAN 1. Protokol keamanan SMS Banking yang dibangun sudah dapat melakukan fungsionalitasnya dengan baik. Protokol terdiri dari dua bagian yaitu permintaan transaksi dan proses transaksi. Keamanan protokol SMS Banking dapat dicapai dengan menerapkan mekanisme keamanan informasi, mekanisme keamanan informasi yang digunakan pada protokol yang dibangun sudah dapat melindungi kerahasiaan PIN nasabah. 2. Implementasi mekanisme keamanan melalui kriptografi ECC dan 3DES. dapat dilakukan menggunakan tools bouncycastle dan berbasis JAVA. 3. Melalui proses pengujian keamanan protokol, protokol SMS Bangking yang dibangun sudah memenuhi standar keamanan data X SARAN Pesan permintaan transaksi yang dikirimkan sebaiknya dilengkapi dengan mekanisme kompresi sehingga dapat mengurangi penggunaan segmen pesan. UCAPAN TERIMA KASIH Penulis mengucapkan terima kasih kepada bapak Dr.Ahmad Ashari, M.Kom selaku pembimbing yang sudah meluangkan waktu memberikan masukan-masukan yang sangat membantu. DAFTAR PUSTAKA [1] Nugraha, F., 2012, Jumlah Pelanggan Seluler di Indonesia Hampir Mendekati Jumlah Penduduk Indonesia, 18 Januari 2012, diakses 18 Maret 2013.

14 IJCCS ISSN: [2] Mahayan, D., 2012, Problem Sms Bangking Dan Mobile Banking Di Indonesia, 1 April 2012, diakses 18 Maret [3] Stallings, W., 2011, Cryptography And Network Security Principles And Practice Fifth Edition, Prentice Hall, New York. [4] Barker, W.C, Barker, E., 2012, Recommendation for the Triple Data Encryption Algorithm (TDEA) Block Cipher, National Institute of Standard and Technology, New York. [5] Ratshinanga, H, Lo, J., and Bishop, J, 2004, A Security Mechanism for Secure SMS Communication, Computer Science Department, University of Pretoria, South Africa. [6] Schneier, B., 1999, Attack Trees: Modelling security threats, Dr. Dobb s Journal diakses tgl 17 April Title of manuscript is short and clear, implies research results (First Author)